Avast Antivirus und Firefox

    Hallo!

    Seit gestern erhalte ich ca. alle 20 Minuten von Avast eine Warnmeldung, dass ein Malware URL-Aufruf verhindert wurde:

    Zitat


    Infection Details
    URL: http://quizsthttp://arttraffic.com/d/moznews.de
    Process: file://C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    Infection: al

    Dies geschieht regelmäßig alle 20 Minuten, auch dann, wenn ich keinerlei Website geöffnet habe.
    Daher tippe ich zunächst auf ein Addon, aber nun tritt diese Meldung auch mit einem ganz frischen, neuen FF-Profil auf.

    Ich halte es für unwahrscheinlich, dass mein System mit Schadsoftware infiziert ist (ich komme aus der IT-Branche, und achte darauf, was auf meinen Rechner kommmt).

    "moznews.de" hört sich nach "Mozilla News" an. Diese seltsame .com-Domain ist allerdings auf "Broomfield, Colorado,80020
    US" registriert.

    Wird diese URL von Firefox abgerufen, und ist dies dementsprechend ein FalsePositive?

    2 Mal editiert, zuletzt von Anonymous (10. Oktober 2011 um 15:31) aus folgendem Grund: URL entlinkt

    Das hat nix mit Mozilla selbst zu tun. Das wird eine Erweiterung sein, oder wohl doch Schadsoftware (im Zweifel eben die betreffende Erweiterung). Schau mal nach, ob im frischen Profil bereits Erweiterungen gelistet sind. Einige Programme verankern globale Erweiterungen (z.B. Skype und Konsorten). Nach dem erstellen des neuen Profils, starte dieses mal im abgesicherten Modus (SafeMode) vom Firefox (da werden keine Erweiterungen gestartet). Sollte dort die Aufrufe immer noch Stattfinden, wirds Zeit für einmal gründlich Festplatte durchwühlen. Vertrauen ist gut, Kontrolle besser.

    Die moznews.de fällt aber in meinem Buch unter Betrugsseite.

    Hi HaveFun,

    stelle mal bitte die Informationen aus dieser Anleitung hier zur Verfügung. Denke könnte aufschlussreich sein.

    ● Anleitung zur Auflistung installierten Erweiterungen und benutzerdefinierter Einstellungen
    (folge dieser Anleitung Schritt-für-Schritt und lasse dabei *keinen* Punkt aus!)
    http://justpaste.it/alle_Fx-Erweiterungen_auflisten

    Wenn möglich vom vllt. noch vorhandenen alten Profil, als auch vom neuem Profil

    Danke.

    Gruß
    Wawuschel

    Wenn ich die oben genannte URL in Opera aufrufe, bekomme ich ebenfalls die avast-Warnung. Das Gleiche passiert, wenn ich nur moznews.de aufrufe. Dann lande ich automatisch wieder bei quizstarttraffic und der avast-Warnung. Von daher dürfte es eher nicht an einer Erweiterung liegen.

    [attachment=1]Fehler - Opera.png[/attachment]
    [attachment=0]Fehler - Opera1.png[/attachment]

    Zitat

    Dies geschieht regelmäßig alle 20 Minuten, auch dann, wenn ich keinerlei Website geöffnet habe.

    Das kann ich momentan nicht bestätigen, werde aber mal beide Browser offen lassen und es nachprüfen.

    Edit 16:25: auch nach 25 Minuten keine erneute avast-Warnung.

    Danke für die schnellen Antworten.

    Road-Runner's Screenshot zeigt genau die Meldung (bei mir allerdings nur die erste; das Favicon wird nicht geladen, da ich die Website ja gar nicht manuell aufrufe).
    Die URL wird, wie geschrieben, periodisch abgerufen, selbst wenn ich gar nicht am Rechner sitze, und nur der leere Firefox (ohne geöffnete Websites) läufts.

    Diesen Beitrag hier schreibe ich im abgesicherten Modus (thx@bugcatcher), bisher siehts gut aus (bisher kein moznews-Aufruf).

    An "Erweiterungen" ist im frischen Profil nur "Microsoft .NET Framework Assistant" aktiv, zusätzlich (sowie 4-5 deaktivierte und veraltete) - was mich erstaunt hat, da ich in einem frischen Profil keine Erweiterungen erwartet hatte.
    Unter "Plugins" sind etliche Einträge im frischen Profil.

    Die Liste (@Wawuschel) werde ich noch erstellen.

    Edit:
    Als ich den Text in jutpaste.it abschickte, erhielt ich wieder die fragliche Avast-Meldung.
    Hier die Auflistung, allerdings beachte man bei den Addons: Mit Ausnahme von "Microsoft .NET Framework Assistant" sind alle anderen Addon veraltet und daher deaktiviert, auch im nicht abgesicherten Modus des frischen Profils. Ich werde die Addons gleich mal alle deinstallieren.
    http://justpaste.it/j1s

    Edit2:
    Hier noch die Auflistung der "Plugins":
    http://justpaste.it/j1t

    Einmal editiert, zuletzt von HaveFun (10. Oktober 2011 um 17:21)

    Zitat

    was genau alle 20 Min diesen Aufruf macht.


    So ein exaktes Intervall könnte auf Traffic deuten.


    @ HaveFun

    Zitat von HaveFun

    Ich halte es für unwahrscheinlich, dass mein System mit Schadsoftware infiziert ist (ich komme aus der IT-Branche, und achte darauf, was auf meinen Rechner kommmt).


    Was macht dich da so sicher? - Es geht meist in die Hose, wenn man im Zusammenhang mit Malware auf Wahrscheinlichkeiten vertraut.

    Lade dir Malwarebytes Antimalware runter, dann das Tool updaten, einen vollständigen Scan durchführen, anschließend ein Logfile erstellen und hier posten. - Und bitte nichts löschen!!

    Zitat von HaveFun

    Java 6.0.13


    Du hattest doch eben folgendes gesagt: "Ich halte es für unwahrscheinlich, dass mein System mit Schadsoftware infiziert ist (ich komme aus der IT-Branche, und achte darauf, was auf meinen Rechner kommmt)."

    Diese rund zwei Jahre alte Java-Version ist eine scheunentorgroße Sicherheitslücke. - Warten wir mal ab, welche Überraschung der Full-Scan mi Malwarebytes zutage fördert.

    Edit:

    Der Flash Player 10.3.183.10 (aktuell ist v11.x) hätte ebenfalls längst upgedatet werden müssen.

    Zitat von HaveFun

    Ich werde die Addons gleich mal alle deinstallieren.

    Um die Erweiterungen zu deinstallieren diese Ordner und deren beinhaltenden Dateien (falls vorhanden) löschen...

    Freemake Video Downloader
    C:\Program Files (x86)\Freemake\Freemake Video Downloader\BrowserPlugin\Firefox\

    Google Gears
    C:\Program Files (x86)\Google\Google Gears\Firefox\

    Java Console entfernen - unter Windows 7
    http://justpaste.it/JavaConsole_Entfernen_Windows7

    PC Sync 2 Synchronisation Extension
    C:\Program Files (x86}\Nokia\Nokia PC Suite 7\bkmrksync\

    Microsoft .NET Framework Assistant
    c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension
    https://support.mozilla.com/de/kb/.NET_Framework_Assistant
    http://support.microsoft.com/kb/963707 - Methode 2

    Bitte kein solches "Bashing", ich wollte mit ausdürcken, dass ich nicht zur klassischen Risikogruppe gehöre (keine Raubkopien, keine dubiosen Websites, aber mit brain.exe), und damit seit meinem ersten PC vor rund 20 Jahren eben diesen virenfrei gehalten habe.

    Zitat von Docc

    Malwarebytes Antimalware, einen vollständigen Scan


    Läuft.

    Zitat von Docc

    Java 6.0.13
    Der Flash Player 10.3.183.10 (aktuell ist v11.x) hätte ebenfalls längst upgedatet werden müssen.


    Die entsprechenden Systemdienste laufen jedenfalls, und aktualisieren auch immer wieder sowohl Java als auch Flash.
    Der Macromedia-Dienst hat übrigens erst vor kurzem Flash aktualisiert, letzte Woche, oder so.

    Zitat von Wawuschel

    Um die Erweiterungen zu deinstallieren diese Ordner und deren beinhaltenden Dateien (falls vorhanden) löschen...


    Danke. Das Deinstallieren über den Firefox geht übrigens auch gar nicht; das ist wohl der Grund, warum eben dieses Addons auch im frischen Profil drin sind.

    Jetzt lass die Updates mal ruhen bis der Scan durch ist. Wenn der Rechner kompromittiert ist, muss er sowieso neu aufgesetzt werden. Und um jetzt das längst überfällige Java-Update nachzuschießen, ist es ohnehin zu spät.

    Scan soeben abgeschlossen:

    PS: In der Zwischenzeit hatte ich mich über den Flashplayer schlau gemacht: "Flash Player 10.3.183.10" ist aktuell, und wurde am 29.09.2011 veröffentlicht. Die 10.x-Versionen erhalten weiterhin Security-Fixes, jedoch keine neuen Funktionen.

    Das Log ist clean. - Als Absolution oder Entwarnung darfst du den Scan jedoch nicht interpretieren.

    Zitat von HaveFun


    Die entsprechenden Systemdienste laufen jedenfalls, und aktualisieren auch immer wieder sowohl Java als auch Flash.


    Demnach müssten Java und Flash aktuell sein. Beide sind jedoch nicht aktuell. Java 6.0.13 ist sogar uralt.

    Die Frage ist, was könnte dieses Verwirrspielchen ausgelöst haben!?

    Lass bitte mal sehen, was da alles an Software, Tools etc. installiert ist:

    Poste bitte ein mit Admin-Rechten erstelltes HijackThis-Logfile. - Bitte nichts fixen oder löschen!!

    // Dein Grafikkartentreiber ist veraltet:
    280.26 WHQL
    Freigabedatum: 2011.08.09
    http://www.nvidia.de/object/win7-wi…-driver-de.html
    Ebenso ist Quicktime uralt, aktuell ist Quicktime 7.7
    http://www.apple.com/de/quicktime/download/
    BTW: Deine Aussage, das du in der IT-Branche arbeitest ist aufgrund dieser Daten erschreckend... :)

    Wenn die Meldung im Abgesicherten Modus nicht kommt, sind wir der Sache doch schon auf der Spur. Einfach mal im normalen Modus alle Erweiterungen und Plugins (die meisten kannst du vermutlich getrost dauerhaft deaktivieren, da der Mehrwert das zusätzliche Risiko nicht ausgleicht, sofern überhaupt ein Mehrwert vorhanden ist. PDFs im Browser anschauen ist sowas von nervig. Deaktviert man den Acrobatreader, wirds als Download angeboten, so das man das pdf direkt im richtigen Reader öffnen kann. so als beispiel ; )) deaktivieren und schauen, ob dann immer noch was kommt.

    Ein aktives NewsFeed-Lesezeichen oder ähnliches, könnte das übrigens auch verursachen. Evtl. gabs bis vor kurzem wirklich moznews.de, mit einem Newsfeed. Aber der Besitzer hat die Seite (und die Domain) aufgegeben (und gekündigt) und einer dieser Domain-Farmer hat sich diese geschnappt, um dort seinen Müll zu verbreiten, an die Leute die aus versehen noch auf alte Links klicken, die zu dieser Domain führen. Alte Masche.

    btw: Erweiterungen die nicht deinstalliert werden können, sind Global installiert worden (meist von irgendwelchen Anwendungen) und sind faktisch nicht Teil des Profils, sie werden aber automatisch eingebunden. Und alle Erweiterungen die eingebunden werden, sind zu Beginn erst einmal aktiv.

    Mozilla wird dieses Verhalten der Erweiterungsinstallation mit einer der kommenden Versionen vom Firefox ändern, da es immer zu Missbrauch kam. Daher müssen dann auch globale Erweiterungen beim Nutzer erst um Erlaubnis fragen.

    Zitat von Boersenfeger

    Deine Aussage, das du in der IT-Branche arbeitest ist aufgrund dieser Daten erschreckend... :)


    Tipp: Nicht jeder der mit "IT" zu tun hat, ist ein Systemadministrator.

    Von dem was ich bisher gesehen hab, halte ich ihn schon für fähig sein System grundsätzlich sauber zu halten. Allerdings würde ich sein System Aufgrund der teils wirklich hoffnungslos veralteten Plugins zumindest als risikohaft einstufen. Aber den Fehler Plugins nicht aktuell zu halten, den macht die absolute große Mehrheit der Bevölkerung. Vor allem bei Software die kein Autoupdate mitbringt. Es wird auch nicht wirklich klar, dass ein Browser unsicher wird, wenn ein Plugins unsicher ist, weil der direkte Zusammenhang nicht klar ist. Ebenso wenig wissen die wenigsten, welche Plugins im Browser überhaupt aktiv sind, weil man darauf nicht hingewiesen wird (ich hoffe das ändert sich in den kommenden Versionenen analog zu den Erweiterungen).